Hay un control de compensación que puedes implementar:
No permita que los usuarios seleccionen la contraseña, en cambio, cambie la contraseña a una aleatoria cada vez que el usuario seleccione cambiar la contraseña. Por supuesto, solo el usuario debe conocer la contraseña aleatoria, por lo tanto, esta contraseña no contará como una "contraseña inicial" que se debe cambiar de inmediato.
La segunda cosa que puede hacer, para resolver este problema en los sistemas que no admiten políticas de contraseña, son las siguientes:
Puede cumplir con la política exigiendo que se realicen cambios en la contraseña a través de un administrador o de IT Desk, lo que garantizará que la contraseña cumpla con la política.
Esto se puede implementar dividiendo la contraseña en 2.
La primera mitad de la contraseña, debe enviarla al administrador o al escritorio de TI. La primera mitad debe cumplir con los requisitos que verifican el administrador o el departamento de TI.
Por supuesto, el administrador o el mostrador de TI deben tener un procedimiento para destruir las contraseñas después del cambio, utilizando, por ejemplo, una trituradora.
La segunda mitad es de forma libre y debe, por ejemplo, contener al menos 8 caracteres. Esto no se revela al administrador o al escritorio de TI. Esta parte de la contraseña no necesita cumplir con ninguna política.
El cambio de contraseña para los usuarios se organiza, para que el usuario acuda al administrador o al mostrador de TI, y solicite que se cambie su contraseña de X system.
Tienen que decir o escribir la primera parte de la contraseña y mostrarla en el escritorio. Luego, el departamento de TI o el administrador se asegurarán de que la parte de la contraseña que se muestra cumple con la política. El departamento de TI o el administrador escribirán la primera parte de la contraseña en el cuadro de diálogo para cambiar la contraseña.
Luego, el usuario tiene que escribir la segunda parte, sin mirar al escritorio de TI o al administrador. Por supuesto, el usuario no debería poder borrar ni cambiar ninguna parte de la contraseña escrita por IT Desk, ni tampoco poder continuar sin su permiso.
(Esto se puede lograr deshabilitando todas las teclas de función, por ejemplo, retroceso, tabulación, inserción, borrado, ingreso, alt, ctrl, y demás en el teclado, requiriendo un mouse para deshabilitar el bloqueo, y el mouse se desenchufa y se retira cuando está tiempo para que el usuario ingrese su parte)
Después de que el usuario haya escrito la segunda parte, el escritorio de TI o los administradores, que no pueden ver la contraseña completa porque aparece como "***************", escribirá La primera parte de nuevo, pero en el cuadro de diálogo "Verificar contraseña".
El proceso se repite nuevamente con el usuario escribiendo la segunda parte nuevamente.
Luego el administrador de TI o el escritorio de TI presionan "Enviar" y se cambia la contraseña.
Esto cumple con todos los requisitos de las PCI DSS, pero también garantiza que el IT Desk o el administrador no puedan conocer las contraseñas individuales de los usuarios, y también permite que el IT Desk o el administrador verifiquen que la primera parte de la contraseña cumple las reglas de PCI DSS, y también Asegúrese de que no coincida con las 4 últimas contraseñas. Las 4 últimas contraseñas se pueden almacenar como hashes, y el departamento de TI o el administrador primero procesarán la primera parte y verificarán que no coincidan con las 4 últimas hashes.
Al usar este esquema, no es necesario que presente ningún control de compensación.
La tercera cosa que puede hacer, es implementar una solución de inicio de sesión único, donde los usuarios utilizan sus contraseñas de Windows normales, para iniciar sesión en los servicios que no admiten políticas de contraseñas. Normalmente, esto se logra al hacer que la solución de inicio de sesión único establezca una contraseña aleatoria muy larga y segura, y luego esta contraseña se usa entre el software de inicio de sesión único y el servicio que no admite políticas de contraseña. Esta contraseña se puede considerar como una "clave", que en PCI DSS tiene una duración de cambio más larga (1 año es para la rotación de claves en PCI DSS) y esta "clave" se usa entre la solución de inicio de sesión único y el servicio en cuestión.